Если вы когда-либо были перенаправлены на странно выглядящий веб-сайт вопросов и ответов, который, по-видимому, продвигает криптовалюту или другие технологии блокчейна, это может быть частью мошенничества с накруткой просмотров рекламы. С осени прошлого года в подобные мошеннические схемы были вовлечены тысячи зараженных сайтов.
Исследователи безопасности из Sucuri потратили последние несколько месяцев на отслеживание вредоносных программ, которые перенаправляют пользователей на мошеннические страницы, чтобы увеличить число показов рекламы Google Ads. Более 10 000 проверенных сайтов оказались заражены, в результате чего они перенаправляли посетителей на совершенно другие страницы.
На подозрительных страницах часто есть формы вопросов и ответов, в которых упоминается биткоин или другие темы, связанные с блокчейном. Опытные пользователи могут предположить, что эти сайты пытаются продавать криптовалюты по схеме накачки и сброса – но в Sucuri предполагают, что весь текст является просто наполнителем, скрывающим реальный источник доходов.
Многие из задействованных URL-адресов выглядят в адресной строке браузера таким образом, как если бы пользователь щелкнул на результат поиска Google, ведущие к рассматриваемым сайтам. Уловка является попыткой замаскировать перенаправления под переходы из результатов поиска, потенциально увеличивая количество показов в поиске для получения дохода от рекламы. Однако неясно, работает ли этот трюк, потому что Google не регистрирует клики в результатах поиска, соответствующие замаскированным редиректам.
Sucuri впервые заметил вредоносное ПО в сентябре, но кампания активизировалась после первого отчета группы безопасности в ноябре. Только в 2023 году исследователи отследили более 2600 зараженных сайтов, перенаправляющих посетителей на более чем 70 новых мошеннических доменов.
Мошенники изначально скрывали свои настоящие IP-адреса с помощью CloudFlare, но после ноябрьской истории сервис их загрузил. С тех пор они перешли на российский сервис DDoS-Guard.
Кампания в основном нацелена на сайты WordPress, используя существующие уязвимости движка. Более того, вредоносный код может скрываться за счет обфускации – маскировки и умышленного запутывания кода для усложнения его анализа (чем-то подобным иногда занимаются депутаты в своих законопроектах). Его также можно временно деактивировать при входе администратора в систему. Противодействие угрозе может оказать двухфакторная аутентификация и поддержание актуальности версии движка.
Также в последнее время злоумышленники подделывали сайты популярных программ, размещая их рекламу в Google для распространения вредоносного ПО. Для загрузки установочных файлов распространенного ПО следует избегать рекламных ссылок в верхней части результатов поиска Google.
Источник: TechSpot